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Abstract not available for FR2700430 
Abstract of corresponding document: EP0605289 
The present invention relates to a method for 
authentication of at least one identification device 
by a verification device. In the context of the 
method, authentication is carried out by a zero- 
knowledge protocol based on the problem of 
decoding by syndrome. The method comprises 
the setting up of a secret vector s with Hamming 
significance d, of a known matrix M of 
dimensions n x k and of a public vector K such 
that K = Ms, the production of a random vector y 
and a random permutation p within the 
identification device, a handshake based on 
parameters depending on y and/or p and/or s 
based on the use of the cryptographic chopping 
function H and of the matrix M, an exchange of 
information relating to y, p, s making it possible to 
reply to the questions posed by the verification 
device without directly or indirectly revealing s to 
the latter, and verification with the aid of K and/or 
of the information previously transmitted on the 
validity of the chopped handshakes. The 
invention applies especially to p< 
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(57) La presente invention concerne un procede d'authenti- 
fication d'au moins un dispositif d'identification par un dis- 
positif de verification. 

Dans le cadre du procede, I'authentification est realisee 
par un protocole a apport nul de connaissance base sur le 
probleme du decodage par syndrome. Le procede com- 
prend I'etablissement d'un vecteur secret s d'un poids de 
Hamming d, d'une matrice connue M de dimensions n x k 
et d'un vecteur public K tel que K = Ms, la production d'un 
vecteur aleatoire y et une permutation aleatoire p au niveau 
du dispositif d'identification, un engagement sur des para- 
metres dependant de y et/ou p et/ou s base sur I'usage de 
la fonction de hachage cryptographique H et de la matrice 
M, une echange d'informations concernant y, p, s permet- 
tant de repondre aux questions posees par le dispositif de 
verification sans reveler directement ou indirectement s a 
celui-ci et une verification a I'aide de K et/ou des informa- 




2700430 



1 



PROCEDE D' AUTHENTICATION D'AU MOINS UN DISPOSITIF 
□ 'IDENTIFICATION PAR UN DISPOSITIF DE VERIFICATION ET 
DISPOSITIF POUR SA MISE EN OEUVRE 



5 La prSsente invention a pour objet un procecle' 

d'authentification d'au moins un dispositif d' identification par un 
dispositif de verification, cette authentification etant rdalisee par un 
protocole a apport nul de connaissance base sur le probleme du 
decodage par syndrome. 

10 La presente invention a aussi pour objet des dispositifs 

d'identification et de verification pour la mise en oeuvre dudit procede. 
La presente invention s'applique, plus particulierement, au cas des 
communications dites sf§curisees ou deux dispositifs echangent des 
donnees a travers un canal dont la securite" est suspecte. Dans ce cas, il 

15 est essentiel d'avoir un moyen de reconnaissance mutuelle, a savoir un 
moyen permettant a un dispositif de verification d'authentifier un 
utilisateur et de lui permettre I'acces aux donnees ou aux services. II 
existe de nombreux exemples necessitant la mise en oeuvre de ce type 
de communication securisee. On peut citer, notamment, le cas des 

20 ordinateurs de type bancaire permettant d'effectuer des transferts 
d'ordres. Dans ce cas, les deux ordinateurs doivent avoir la certitude 
qu'ils sont bien en communication l*un avec I'autre et non pas avec une 
entite pirate. On peut citer aussi le cas des distributeurs automatiques de 
billets, des decodeurs de television a peage, des publiphones. Dans ces 

25 exemples, le dispositif d'identification est constitue" par un appareil 
portable tel qu'une carte a puce ou une cie eiectronique et le dispositif 
de verification inclus soit dans le distributeur ou le decodeur doit 
controler la validity des differents moyens d'accSs de la carte a puce ou 
de la cle - electronique. 

30 Dans ce contexte, on utilise fr§quemment des methodes 

d'authentification qui sont bashes sur des techniques cryptographiques a 
cles secretes. Ces methodes sont, jusqu'a ce jour, les plus simples a 
mettre en oeuvre. Dans le cadre de ces methodes, le dispositif 
d'identification par exemple les cartes a puces et le dispositif de 
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verification tel qu'un terminal, un lecteur de cartes, un decodeur, un 
publiphone, partagent ia meme cie secrete et I'identification est 
accomplie par un algorithme symetrique ou une fonction a sens unique. 
L' inconvenient de ces m<§thodes reside dans le fait que les deux parties, 
5 a savoir le dispositif de verification et le dispositif d'identification, 
doivent cooperer mutuellement et secretement. Cette condition n'est pas 
toujours verifiee. Effet, un element pirate peut acheter le dispositif de 
verification et I'analyser pour connaTtre sa structure interne. Sur la base 
de cette analyse, reiement pirate est techniquement capable de realiser 

10 des dispositifs d'identification performants, car les m§mes cl6s secretes 
sont presentes aux deux extremes du reseau, e savoir dans le dispositif 
de verification et dans le dispositif d'identification. 

II est reconnu que, parmi les divers procedes pouvant §tre 
impiementes pour se premunir contre les inconv6nients des methodes 

15 classiques connues, les protocoles a apport nul de connaissance 
assurent jusqu'a maintenant le degre de securite le plus eieve. 

En resume, les protocoles d'identification a apport nul de 
connaissance sont fonctionnellement caracterises par le fait qu'un 
nombre illimite d'interactions avec le dispositif d'identification et une 

20 analyse complete de la structure du dispositif de verification ne sont pas 
suffisants pour pouvoir reconstruire les dispositifs d'identification. 

Toutefois, les protocoles a apport nul de connaissance qui 
constituent une solution ideale au probieme de I'identification pn§sentent 
un inconvenient majeur. Leur realisation est quelque peu difficile a faire 

25 eiectroniquement, car ellle demande un nombre d'operations tres 
important. On pourra trouver une description des procedes 
d'identification a apport nul de connaissance existant notamment, dans 
le brevet americain A-4 748 668 au nom de FIAT et al. ou dans la 
demande de brevet europeenne A-0 31 1 470 au nom de GUILLOU et AL. 

30 Des efforts ont ete accomplis recemment afin de developper 

des methodes d'identification dont la realisation eiectronique soit plus 
facile. Une telle methode est decrite notament dans le brevet americain 
US-A-4 932 056 au nom de SHAMIR. Cette methode est connue sous le 
nom de methode PKP. Toutefois, cette methode, qui est plus facile a 
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realiser eiectroniquement que les algorithmes manipulant les grands 
nombres, presente l'inconv6nient d'etre relativement lente lors des 
echanges entre les dispositifs de verification et d'identification. 

La presente invention a done pour but de remedier aux 
5 inconv<§nients mentionnes ci-dessus en proposant un nouveau procede 
d'authentification qui soit facilement realisable eiectroniquement et qui 
permette une authentification rapide du dispositif d'identification par le 
dispositif de verification. 

En consequence, la presente invention a pour objet un proc6de 

10 d'authentification d'au moins un dispositif d'identification par un 
dispositif de verification, cette authentification etant realisee par un 
protocole a apport nul de connaissance base sur le probieme du 
decodage par syndrome ou le probieme connu sous le nom de "Modular 
Knapsack" , le procede etant caracterise par les etapes suivantes : 

1 5 - pour permettre le dialogue entre le dispositif d'identification 

et le dispositif de verification, etablir une cie secrete constituee par au 
moins un vecteur Sj de dimension n et de poids de Hamming d (d<n) et 
une cie publique comprenant une matrice M de dimensions n x k dont les 
coefficients sont choisis aieatoirement et au moins un vecteur Kj tels que 

20 Kj = Msj ; 

- au niveau du dispositif d'identification, produire un vecteur 
aieatoire y de dimension n et une permutation aieatoire p et envoyer au 
dispositif de verification un engagement obtenu en appliquant une 
fonction de hachage cryptographique H sur des parametres fonction de 

25 y, p, s et M ; 

- puis, en fonction d'un nombre aieatoire tire par le dispositif 
de verification et envoye au dispositif d'identification, reveler au 
dispositif d'identification, certains elements fonction de y, p et s\ sans 
reveler S} ; 

30 - et en fonction du nombre aieatoire, tester au niveau du 

dispositif de verification a I'aide des elements recus et de la cie publique 
que les engagements sont corrects ; 
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- r6p6ter les operations precedentes un nombre de fois 
fonction du niveau de sgcurite" souhaite" sachant que ce niveau de 
sgcurite" est exponentiellement croissant avec le nombre de tours. 

Dans le procede d'authentification ci-dessus, on utilise une 
5 matrice M de dimensions n x k, cette matrice etant commune a tous les 
utilisateurs et construite al<§atoirement. Chaque utilisateur report une cle" 
secrete s qui est un mot de n bits avec un nombre d prescrit de 1 . Dans 
ce cas, le systeme caicule ia cie" publrque K telle que K = MS. 

Alternativement, un utilisateur peut §tre dote" de plusieurs cles 
10 secretes s[1], s[w] auxquelles sont assoctees des cl6s publiques 
K[i] - Msti]. Avantageusement, on peut exiger que ces vecteurs s[1], 
s[w] forment un code simplexe etendu. 

Le procede d' identification est base principalement sur la 
notion technique d'engagement. Si U est une sequence d'eiements 
15 binaires, un engagement pour U est I'image de U a travers une certaine 
fonction de hachage cryptographique. L'engagement sera utilise" comme 
une fonction a sens unique. 

Selon un premier mode de realisation du procede 
d'authentification, dans une premiere 6tape 
20 - a) commune aux differents proc§des, le dispositif 

d'identification r^vele son identity et/ou sa ou ses cies signees au 
dispositif de verification qui ve>ifie que I'identite en question correspond 
bien au vecteur Kj, puis 

apres avoir choisi un vecteur aieatoire y et une permutation 
25 aieatoire p, 

- b) le dispositif d'identification caicule : 

h-j = H{p,My), h 2 = H(y p ), h3 = H (y xor s) p ) et expedie 
('engagement {h-i, h2, ^3} au dispositif de verification, (x p representant 
le vecteur x permute par p et xor la fonction Ou exclusif), 
30 - c) puis le dispositif de verification tire de facon aieatoire un 

nombre 0 < q < 4 et I'expedie au dispositif d'identification, 

- d) alors le dispositif d'identification caicule et envoie au 
dispositif de verification une reponse r definie par : 

Si q = 1 alors r = {y,p} 
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Si q = 2 alors r = {y xor s, p} 
Si q = 3 aiors r = {y p , s p } 

- e) le dispositif de verification repoit r = {U,V} et teste que : 
Si q = 1 alors h-| = H (V.MU) et h 2 = H(U V ) 

5 Si q = 2 alors hi = H(V, (MU) xor K) et h 3 = H(U V ) 

Si q = 3 alors h 2 = H{U), h 3 = H(U xor V) et le poids de 
Hamming de V est d, 

- f) si le test correspondant a q s'est ave>6 correct, le dispositif 
de verification considere que le protocole s'est termini par un succes. 

10 Selon un autre mode de realisation de la presente invention, ou 

le vecteur s est remplace par une collection de w vecteurs s[1], s[2], 
s[w] formant un code simplexe de poids d, apres avoir choisi un vecteur 
aleatoire y et une permutation aleatoire p 

-b) le dispositif d' identification calcule h-j = H(My, p), h 2 = 

15 H(y p , s[1] p , s[w] p ) et expedie I'engagement {hi, h 2 } au dispositif de 
verification, 

- c) le dispositif de verification tire de fapon aleatoire un 
vecteur binaire b[1], b[w] et I'envoie au dispositif d'identification ; 

- d) le dispositif d'identification calcule et envoie au dispositif 
20 de verification une reponse z definie par : 

z = y p xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b[3] ... xor 
s[w] p b[w] ; 

- e) le dispositif de verification tire de fapon aleatoire un bit q 
et I'envoie au dispositif d'identification, 

25 - f) le dispositif d'identification envoie une reponse r definie 

par : 

Si q = 0 alors r = {y p , s[1] p , s[w] p } 
Si q = 1 alors r = {p} ; 

- g) le dispositif de verification repoit une reponse r = {r[0], 
30 r[1], r[w]} si q = 0 ou r = {r[0]} si q = 1 ; 

- h) le dispositif de verification teste que : 

Si q = 0 alors h 2 = H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] ... xor r[w]b[w] et {r[1], r[2], r[w]} forme un code simplexe ; 
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Si q = 1 alors H(M(depermute(z, r[0]}) xor (K[1]b[1] xor 
K[2]b[2] xorK[3]b[3] ... xor K[w]b[w]), r[0]) = h-j oO K[i] = Ms[i] 

- i) si le test correspondent a q s'est avgre - correct, le dispositif 
de verification considere que le protocole s'est terming par un succes. 

5 D'autres avantages de la presente invention apparaTtront a la 

lecture de la description de diff6rents modes de realisation du proc6de\ 
cette description 6tant faite avec reference aux dessins ci-annexes dans 
lesquels : 

- la figure 1 est un schema expliquant un premier mode de 
10 mise en oeuvre du procede d'authentification conforme a la presente 

invention ; 

- la figure 2 est un schema d'un second mode de realisation du 
procede conforme a la prgsente invention ; 

- la figure 3 est un schema sous forme de blocs d'un dispositif 
15 d'identification conforme a la presente invention ; 

- la figure 4 est un schema sous forme de blocs d'un dispositif 
de verification conforme a la presente invention, et 

- la figure 5 est un schema eMectrique d'un exemple de 
realisation d'un multiplicateur matrice/vecteur conforme a la presente 

20 invention. 

La presente invention concerne done un nouveau procede 
d'authentification realise" par un protocole a apport nul de connaissance. 
La securite du procede est basSe sur le probleme du decodage par 
syndrome (DS) qui peut etre explicit^ de la maniere suivante : soit une 

25 matrice binaire M et un vecteur binaire K, il s'agit de trouver un vecteur 
binaire s de poids relativement fort ou relativement faible, tei que 
Ms = K. Par poids, on entend le nombre de bits a 1 dans le vecteur 
concerne\ Le probleme pose ci-dessus est en fait tres difficile a rSsoudre 
par les moyens de calcul connus a ce jour, si les dimensions de la 

30 matrice M et le poids d'Hamming d de s sont choisis judicieusement. Les 
algorithmes connus pour resoudre le probleme du decodage par 
syndrome tels que demerits, par exemple, dans I'article de J.S Leon "A 
probabilistic algorithm for computing minimum weights of large error- 
correcting codes" dans IEEE TIT, 34(5), pages 1354 a 1359 ou dans 
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['article J. Stern "A method for finding codewords of small weight" 
Coding Theory & Applications, notes de lecture en Computer Science 
388 (1989), pages 106-113 ont un temps de calcul qui croTt 
exponentiellement avec la taille des matrices en question. 
5 Les moyens de calcul actuels ne permettent pas de calculer s 

si les dimensions de M sont aux environs de 500 par 250 et la valeur de 
d proche de 50. Toutefois, etant donne" s (pris au hasard mais avec un 
certain poids), il est possible de calculer K. 

Dans la pr6sente invention, on utilise cette propria a sens 

10 unique pour que I'appareil de verification qui connaTt K puisse tester que 
le dispositif d'identification possede s sans que sa valeur soit rev£lee au 
cours de I'interaction. 

Pour mettre en oeuvre le proc§d§ d'authentification conforme a 
la prSsente invention, une autorite' choisit et publie la matrice M 

15 constitute de coefficients ajj qui ont gte choisis alSatoirement. En fait, 
pour eviter de mSmoriser toute la matrice M, il est possible de genSrer 
chaque coefficient 3jj par f(i,j) ou f est une fonction pseudo-ateatoire 
publique quelconque. 

L'autorite choisit aussi une collection de vecteurs binaires S|, a 

20 savoir s-j, S2, s nf dont le poids de Hamming d est relativement faible 
et les distribue aux divers dispositifs d'identification. Ainsi, le dispositif 
d'identification i recoit s\. D'autre part, on publie I'ensemble des des 
publiques Kj ou Kj = Ms,. 

Selon une variante de realisation, l'autorite peut aussi apposer 

25 sa signature sur les Kj de facon a constituer un systeme cryptographique 
ferme" ou une interaction avec l'autorite est n£cessaire afin de valider les 
cles publiques creant ainsi un systeme base sur l'identit§ du porteur de la 
cl<§ secrete Sj. 

On decrira maintenant deux modes de realisation sp£cifiques 
30 du procede de la pr§sente invention. 

Le premier procecie sera decrit avec reference a. la figure 1 qui 
represente schematiquement le protocole de communication mis en 
oeuvre entre un dispositif d'identification et le dispositif de verification 
pour realiser une authentification. Les dispositifs d'identification qui 
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peuvent etre constitu6s, par exemple, par des cartes a puce ou des cles 
eiectroniques doivent §tre physiquement inviolables. Ainsi, pour une 
carte a puce, il doit etre impossible d'acceder a sa memoire interne. Rien 
par contre n'est suppose concernant I'environnement dans lequel evolue 
5 le dispositif de verification. De plus, comme represente" sur les figures 3 
et 4 qui representent schematiquement un dispositif d' identification et un 
dispositif de verification, le dispositif d' identification comporte dans une 
memoire non volatile sa cie secrete Sj et la matrice M, de meme le 
dispositif de verification comporte dans une memoire non volatile 
10 ['ensemble des cles publiques Kj et la matrice M. Quand un dispositif 
d'identification veut entrer en contact avec un dispositif de verification, 
les deux dispositifs executent le protocole suivant : 

- a) tout d'abord le dispositif d'identification revele son identity 
et/ou sa cle signee Kj au dispositif de verification qui v£rifie que I'identite 

15 en question correspond bien a Kj. 

- b) ensuite, le dispositif d'identification choisit un vecteur 
binaire aleatoire y et une permutation aleatoire p. Puis, il calcule les 
elements suivants : 

hi = H(p,My), h2 = H(y p ), h 3 = H ((y xor s) p ) et expedie 
20 I'engagement {h-|, h2, 113} au dispositif de verification, (x p representant 
le vecteur x permute par p et xor la fonction Ou exclusif), 

- c) puis le dispositif de verification tire de fapon aleatoire un 
nombre 0 < q < 4 et I'expedie au dispositif d'identification, 

- d) alors le dispositif d'identification calcule et envoie au 
25 dispositif de verification une reponse r definie par : 

Si q = 1 alors r = {y,p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 

- e) le dispositif de verification repoit r = {U,V} et teste que : 
30 Si q = 1 alors h-j = H (V,MU) et h 2 = H{U V ) 

Si q = 2 alors h-] = H{V, (MU) xor K) et h 3 = H(U V ) 

Si q = 3 alors h 2 = H(U), h 3 = H{U xor V) et le poids de 

Hamming de V est d, 
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- f) si le test correspondant a q s'est av§r§ correct, le dispositif 
de verification considere que le protocole s'est termine par un succes. 

Si le test n'est pas correct, le dispositif d'identification est 

rejete. 

5 Lorsque le dispositif est accepte, on envoie une impulsion de 

commande sur Pinterface entree/sortie du systeme protege qui permet la 
mise en route de la transaction ult6rieure. L'ensemble des operations ci- 
dessus est symbolise" sur la figure 1 dans laquelle la partie de gauche 
represente les differentes operations realisees au niveau du dispositif 

10 d'identification tandis que la partie de droite represente les differentes 
operations realisees au niveau du dispositif de verification, les fleches 
symbolisant I'envoi d' informations d'un dispositif vers Pautre. 

Pour accroitre la securite du procede, les deux dispositifs 
d'identification et de verification repetent les Stapes ci-dessus plusieurs 

15 fois, a savoir t fois, le dispositif de verification n'authentifiant le dispositif 
d'identification que si toutes les sessions du protocole se sont soldees 
par un succes. De preference, on choisit t tel que 0 < t < 60. 

Le procede de base decrit ci-dessus peut Stre modifiS de 
differentes manieres, permettant notamment une simplification de la 

20 realisation eiectronique ainsi qu'un raccourcissement des temps de 
calcul. Ainsi, il est possible de transmettre le vecteur My en clair et de 
redefinir Hi = H(p) en modifiant les tests correspondents. Selon une 
autre variante, le dispositif de verification et/ou le dispositif 
d'identification peuvent faire un test partiel sur un sous-ensemble de 

25 coordonnees des vecteurs et effectuer ainsi les calculs de facon plus 
rapide. Dans ce cas, certaines etapes du procede sont modifiees telles 
que decrites ci-apres. 

Ainsi, Petape b peut etre modifiee de la fapon suivante : 
apres avoir choisi un vecteur al£atoire y et une permutation 

30 aieatoire p, 

- b) le dispositif d'identification calcule hi = H(p), h2 = H(y p ), 
h3 = H ((y xor s) p ) et expedie Pengagement {h-j, h£, h3> au dispositif 
de verification. 
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- c) le dispositif de verification tire de facon aleatoire une liste 
de nombres mutuellement disjoints G = {gi, ...gf} telle que 1 < g\ < k 
et I'envoie au dispositif d' identification, 

- d) le dispositif d'identification calcule seulement les f bits de 
5 My dont les emplacements sont indiqu6s par G et expedie au dispositif 

de verification le vecteur Z ainsi obtenu. 

Dans ce cas, I'etape e est modified elle aussi de la fapon 

suivante : 

- e) le dispositif de verification report r = {U,V} et contrdle 

10 que : 

Si q = 1 alors h<\ = H(V), h 2 = H(U V ) et Extrait (MU,G) xor 
Z = 0 ou Extrait (x, G) represente le vecteur projection obtenu en 
choisissant dans x seuiement les bits indiques par G ; 

Si q = 2 alors h-| = H{V}, h 3 = H(U V ) et Extrait (MU xor K,G) 

15 xorZ = 0; 

Si q = 3 alors h 2 = H{U), h 3 = H(U xor V) et le poids de 
Hamming de V est d. 

Selon une autre variante du procede, I'etape b peut §tre 
modifiee de ia maniere suivante : 
20 - b) apres avoir choisi un vecteur aleatoire y et une 

permutation aleatoire p, le dispositif d'identification calcule = H(p), 
h 2 = H(y p ), h 3 = H ((y xor s) p ) et expedie I'engagement {h<|, h2, h 3 ) 
au dispositif de verification ; 

- c) le dispositif d'identification calcule Q = My et exp<§die le 
25 vecteur Q ainsi obtenu au dispositif de verification ; 

- d) le dispositif de verification tire de fapon aleatoire une liste 
de nombres mutuellement disjoints G = {g-j, gf} telle que 1 < g; < k 
et calcule le vecteur Z = Extrait (Q,G). 

Alors I'etape e est modifiee de la maniere suivante : 
3 0 - e) le dispositif de verification repoit r = {U,V} et contr6le 

que : 

Si q = 1 alors hi = H(V), h 2 = H(U V ) et Extrait (MU,G) xor 

Z = 0; 
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Si q = 2 alors h-i = H(V), h 3 = H(U V ) et Extrait (MU xor K,G) 

xor Z = 0 ; 

Si q = 3 alors h2 = H(U), (13 = H(U xor V) et le poids de 
Hamming de V est d. 
5 Un autre mode de mise en oeuvre du precede 

d'authentification est maintenant decrit avec reference a la figure 2. Ce 
second mode de realisation demande plus de calculs que le mode de 
realisation precedent, mais la probability de succes d'une entite iliegale 
decroTt plus vite. Dans ce cas, le vecteur s\ est remplace par un 
10 ensemble de vecteurs s[1], s[w] formant un code simplexe etendu. 
De plus le vecteur Kj est remplace' par un ensemble de vecteurs K[1], 
K[w] tels que M(s[i]) = K[i]. 

Ce mode de realisation comporte done les Stapes suivantes, 
symbolisees sur la figure 2 de maniere identique a la symbolisation 
15 utilisee sur la figure 1 : 

- a) le dispositif d'identification choisit un vecteur aieatoire y et 
une permutation aieatoire p puis calcuie h-j = H(My, p), h2 = H(yp, 
s[1] p , s[w] p ) et expedie I'engagement {h-j, h2) au dispositif de 
verification, 

20 - b) le dispositif de verification tire de facon aieatoire un 

vecteur binaire b[1], b[w] et I'envoie au dispositif d'identification ; 

- c) le dispositif d'identification calcuie et envoie au dispositif 
de verification une reponse z definie par : 

z = y p xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b[3] ... xor 
25 s[w3 p b[wl ; 

- d) le dispositif de verification tire de facon alSatoire un bit q 
et I'envoie au dispositif d'identification, 

- e) le dispositif d'identification envoie une n§ponse r d^finie 

par : 

30 Si q = 0 alors r = {y p , s[1] p , s[w] p } 

Si q = 1 alors r = {p} ; 

- f) le dispositif de verification repoit une r£ponse r = {r[0], 
r[1], r[w]} si q = 0 ou r = {r[0]} si q = 1 ; 

- g) le dispositif de verification teste que : 
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Si q = 0 aiors h 2 = H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] ... xor r[w]b[w] et {r[1], r[2], r[w]} forme un code simplexe ; 

Si q = 1 alors H{M(depermute{z, r[0])) xor (K[1]b[1] xor 
K[2Ib[2] xor K[3]b[3] ... xor K[w]b[w]), r[0]) = h<[ ; 
5 - h) si ie test correspondant a q s'est aven§ correct, ce 

dispositif de verification considere que le protocole s'est termine" par un 
succes. 

Ce procede peut lui aussi etre modifie et adapts de maniere a 
eviter la depermutation du vecteur z, et a effectuer une verification 
10 simplifiee sur un sous-ensemble des coordonnees des vecteurs comme 
decrit ci-dessus. Dans ce cas, le procede peut comporter, par exemple, 
les etapes suivantes : 

- a) le dispositif d'identification choisit un vecteur aleatoire y et 
une permutation aleatoire p, puis calcule : 

15 h-i = H(p), h 2 = H(y pi s[1] p , , s[w] p ) et exp6die 

I'engagement {h-|, h 2 } et le vecteur ho = My au dispositif de 
verification ; 

- b) le dispositif de verification tire de facon aleatoire un 
vecteur binaire b[1], b[w] et I'envoie au dispositif d'identification, 

20 - c] le dispositif d'identification calcule et envoie au dispositif 

de verification une reponse z definie par : 

z = y p xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b[3] ... xor 
s[w] p b[w] ; 

- d) le dispositif de verification tire de fapon aleatoire un bit q 
25 et I'envoie au dispositif d'identification, 

- e) le dispositif d'identification envoie une reponse r definie 

par : 

Si q = 0 alors r = {y p , s[1] p , slw] p } 
Si q = 1 alors r = {p} ; 
30 - f) le dispositif de verification recoit une reponse r = {r[0], 

r[1], r[w]} si q = 0 ou r = {r[0]} si q = 1 ; 

- g) le dispositif de verification teste que : 

Si q = 0 alors h 2 = H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] ... xor r[w]b[w] et {r[1], r[2], ... r[w]} forme un code simplexe ; 
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Si q = 1 alors h-j = H(r[0]) et (h 0 ) r [0] xor (K[1]b[1] xor 
K[2]b[2] xor K[3]b[3] ... xor K[w]b[w]) r r 0 ] = z. 

Si le test correspondant s'est av£re" correct, le dispositif de 
verification considere que le protocofe s'est termine" par un succes. 
5 Comme dans le cas du premier mode de realisation, le 

protocole decrit ci-dessus peut §tre r§p6t6 t fois, le dispositif de 
verification n'authentifiant le dispositif d' identification que si toutes les 
sessions du protocole se sont sold£es par un succes. 

D'autre part, la s<§curite" des deux mSthodes ddcrites ci-dessus 
10 depend de la tailie des differents parametres, notamment de d, n, k, et t. 
II est evident pour I'homme de ['art que le choix de t est facilement 
modulable en cours de fonctionnement, au niveau des deux dispositifs 
communiquant entre eux en fonction du contexte. En ce qui concerne les 
parametres d, n et k , il s'agit de parametres systeme et leurs choix sont 
15 fixes a I'origine et plus difficilement modifiables. 

Ainsi, de preference, les parametres d, n, k sont choisis 
sensiblement sous fa borne Warshamov-Gilbert donnant une valeur llmite 
th<§orique pour le poids minimal d d'un code (n,k) ateatoire, a savoir : 
d = nH2(k/n) oCi H2M est la fonction d'entropie H2M - - x log2(x) - 
20 d-x} log2d - x). Dans ce cas, d est choisi tel que : 

d = [k - n) log 2 d - (k/n)) - k Jog 2 (k/n) 

ou d = (n - (k - n) log 2 d - (k/n)) + k log 2 (k/n). 

De plus, a la restriction de la borne de Warshamov-Gilbert, il 
convient d'ajouter une relation telle que 2k = n qui lie les valeurs de n et 
25 k. 

En utilisant les relations ci-dessus, de preference d = 0,11 n 
ou d = 0,89 n et les couples n et k peuvent prendre I'une des valeurs 
suivantes : 

{n = 384, k = 196} ou {n = 512, k = 256} ou {n = 1024, 
30 k = 512} ou {n = 768, k = 384). 

Selon une variante de realisation qui peut etre utilised dans 
I'ensemble des m£thodes d^crites ci-dessus, la fonction de hachage est 
remplacee par une fonction de chiffrement ou le message a hacher joue 
le role de la cle et/ou de messages a chiffrer et ou le contr6le de la 
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veracite du message hache" consiste a devoiler le message qui a 6t£ 
hache" et/ou la cle de chiffrement. On pourra se r£f£rer a ce sujet aux 
publications suivantes : 

- Ivan Damgaard, Crypto'89, "Design principles for hash- 
5 functions" ; 

- Naor and al. "one-way hash functions and their cryptographic 
applications", Proceedings of the 21 st annual ACM symposium on theory 
of computing, Seattle, Washington, May 15-17, 1989, pp 33-43 ; 

- Matyas, "Generating strong one-way functions with 
10 cryptographic algorithm", IBM Technical disclosure bulletin, vol. 27, 

N°10A, March 1985, pp. 5658-5659. 

Dans le cas d'un proc§d£ base" sur le "Modular Knapsack", le 
choix du vecteur y et tous les calculs sont effectues modulo m et 
l'op£ration xor est remplac£e par une addition ou une soustraction 
15 modulo m, les tests sur le poids Stant remplacSs par la verification que 
toutes les coordonnees du vecteur sont soit 0, soit 1 et que le poids de 
ce vecteur est constant, fa relation reliant n, k et m §tant : n - k ln(m)/ln 
2 et n - k >64. Alors m est choisi parmi les nombres 2, 3, 5, 7 ou 2 C 
dans lequel c est un nombre entier petit et les ensembles {n, k, m} 
20 peuvent prendre I'une des valeurs suivantes : 

{196,128,3} ou {384,256,3} ou {128, 64, 5} ou {192, 96, 5}. 
Dans beaucoup de cas, il est important d'avoir un moyen de 
dSduire s de I'identite ID du porteur du dispositif d'identification. Ceci 
permet, par exemple, d'eviter la sauvegarde des cl£s publiques Kj aupres 
25 des dispositifs de verification et la mise a jour d'un dictionnaire de cles 
publiques des qu'un nouvel utilisateur rejoint le systeme. 

Pour ce faire, un code simplexe etendu sigma-j, sigma u est 
choisi par I'autorite une fois pour toutes comme parametre. 

Pour enregistrer un utilisateur dont I'identite est ID, on hache 
30 ia valeur ID par une fonction a sens unique publique {par exemple la 
fonction de hachage H) et on obtient un vecteur binaire e-|, e u . On 
calcule : u 

sic = I e,- sigma,- 
i = 1 
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On publie K-j = M(sigmai ), K u = M(sigma) u et on donne 
S[d a I'utilisateur ID. 

Les dispositifs de verifications peuvent calculer : 
u 

5 K[d = Z ejKj 

i = 1 

ou le vecteur e-j, e u est donn6e par le hachage de ID et 
verifier que ie dispositif d'identification possede sid- 

Pour atteindre un degrg de securite" suffisant, il est 

10 indispensable d'avoir u > 40 ce qui implique, a priori, des codes 
simplexes de taille trop importante. En r§alite\ il est facilement possible 
de se ramener a des tailles raisonnables en choissant une collection de L 
codes simplexes de petites dimensions (par exemple d = 64, dim = 7, 
n = 580, k = 290, L = 8) et en calculant pour chaque utilisateur une 

15 collection de L cles secretes s[1 ]jq, s[2][d, s[L]|q obtenues comme 
suit. 

Choisir, une fois pour toutes L codes simplexes de dimension 

dim : 

sigma ni-j, ... sigma[1]<ji m 
20 sigma [2]-\, ... sigma[2] c jj m 

sigma [Ll-j, ... sigma[LJ<jj m 

donner, a chaque dispositif d'identification, la collection 
complete des cles publiques K[i]j = M (sigma [i]j> pour i = 1, ...L et j = 
1,...dim. 

25 Pour chaque utilisateur : 

1. Calculer : H(ID) = e-j, ...e u 

2. Partager le vecteur e en L segments e[1], ... e[L] de dim bits 

chacun ; 

3. Pour i = 1 a L calculer : 
30 dim 

s[il|o = I e[i]jsigma[i]j 
j = 1 

4. Donner s[1]|p, s[2]jd, s[I]{d 3 I'utilisateur. 
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On utilisera les divers s[i]|D soit de facon senelle (en utilisant 
aux tours successifs les s[i]|D 3 tour de r6le) ou parallele, comme 
I'illustre le protocole suivant : 

a) le dispositif d" identification revele son identity ID au 
5 dispositif de verification ; 

b) le dispositif de verification calcule K[1]|d, K[2]|d,...,K[L]|d 

c) le dispositif d' identification choisit L vecteurs y[1],...,y[L] et 
L permutations p[1], p[L], calcule h-j = H({p[i]}, {My[i]}), h_2 = 
H({yri] p [i]}}, h 3 = H ({y[i] xor s[i] p [j]}) et exp£die I'engagement {h-j, h2, 

10 h 3 } au dispositif de verification ; 

d) le dispositif de verification tire de facon aleatoire un nombre 
0 < q < 4 et I'expedie au dispositif d' identification ; 

e) le dispositif d 'identification calcule et expgdie au dispositif 
de verification une reponse r definie par : 

15 Si q = 1 alors r = {{y[i]} f {p[i]}} 

Si q = 2 alors r = {{y[i] xor s[i]}, {p[i]}} 
Si q = 3 alors r = {{yM p [j]}, {s[i] p [j]}} 

f) le dispositif de verification recoit r = {U, V} et teste que : 
Si q = 1 alors h-j = H ({V[i]} , {MU[i]» et h 2 - H({U[i] V [i]}) 

20 Si q = 2 alors h-j = H ({V[i]> , ({MU[i]) xor K[i]}) et 

h 3 = H({Um V [i]}) 

Si q - 3 alors h 2 = H ({U[i]} , h 3 = H({U[i] xor V[i]}) et le 
poids des V[i] est d. 

g) Si le test correspondant a q s'est aveY6 correct, le dispositif 
25 de verification considere que le protocole s'est terming par un succes ; 

h) les deux dispositifs n§petent les etapes a) a f) t fois. 

En version parallele, le protocole prend la forme suivante : 

- a) I'identificateur revele son identite ID au verifieur 

- b) le verifieur calcule K[1]| D ,K[2]| D ,..., K[L] lD 

30 - c) I'identifieur choisit L vecteurs y[1J, y[L] et 

L permutations p[1} ( p[L], calcule h-j = {H(p[i], My[i])}, 

h 2 = {H(y[ilp[j])}, h 3 = {H((yti] xor s[i] p [j]}} et expedie I'engagement 
{h-], h2, h 3 } au verifieur. 
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- d) le verifieur tire de facon aleatoire L nombres aleatoires 
q[1], ... t q[L] ou 0 < q(i] < 4 et les exp§die a I'identifieur 

- e) I'identifieur calcule et expgdie au verifieur L rgponses r[1], 
r[L] definies par : 

5 si q[i] = 1 alors r[i] = {y[i] f p[i]} 

si q[i] = 2 alors r[i] = {y[i] xor s(i], p[i]} 
si q[i] = 3 alors r[i] = {y[i] p [j] s(i] p [j]} 

- f) le verifieur recoit les {r[i]} et contrdle les engagements 
d'une facon evidente pour I'homme de I'art. 

10 Line autre methode pour relier ID a s est la suivante : 

- on introduit t secrets de poids at dont les bits a un sont 
repartis sur 2at positions. Soit s[1], s[2], s[t] et on publie Ms[i] pour 
i = 1, ...,t. 

Dans ce cas, la generation d'une cl§ se passe selon le 
15 processus suivant. II est aise, notamment par tiangulation partielle, de 
trouver un mot s tel que : 

t 

s = I x[i] s[i] et 
i = 1 

20 

t 

Ms = I ejMsfi] et 
i = 1 

le poids de s est approximativement ta-t/2. 
25 Le choix des dimensions dans ce systeme est r6gi typiquement 

par les relations suivantes : 0,11 n = ta - 1/2, 2k = n et 2at8 > 56 ou 
2a-2a H 2 (5] - 1 . 

Typiquement, pour t = 56 on a : d = 95, n = 863, k = 432. 
II est evident pour I'homme de I'art que d'autres combinaisons sont 
30 possibles. 

On decrira maintenant succintement, avec reference a la figure 
3, un mode de realisation schematique d'un dispositif d'identification qui 
peut etre, par exemple, une carte a puce. Ce dispositif d'identification 
comporte done une unite de commande 1, une m§moire non volatile 2 
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qui peut etre seulement lue et qui contient par exemple la matrice M ou 
une fonction permettant d'obtenir ies coefficients de la matrice M tels 
que definis ci-dessus ainsi que la cle secrete Sj du dispositif 
d'identification lui-meme. II comporte aussi une memoire a acces 
aleatoire 3, un multiplicateur vecteur-matrice dont le mode de realisation 
sera decrit avec reference a la figure 5, un moyen pour realiser des OU 
exclusifs binaires 5, un generateur 6 de nombres aleatoires, une fonction 
de hachage 7 et un generateur de permutation 8, tous ces elements 
etant proteges physiquement. II comporte aussi un interface de 
communication permettant un echange de donnees entre le dispositif de 
verification et I'unite de commande du dispositif d'identification. Le 
generateur de nombres aleatoires peut etre realist par une source de 
bruit blanc numerise qui peut etre produit, par exemple, par une diode 
zener polarisee en inverse dans la zone dite "du coude"ou peut etre aussi 
constitue par un generateur de nombres pseudo-aleatoires comme decrit 
dans Ies brevets americains 4 817 147 au nom de GUNTER ou 4 649 
419 au nom d'ARAGON. D'autre part, le generateur de permutation 8 est 
capable de permuter des vecteurs binaires en utilisant, par exemple, la 
methode decrite dans la demande de brevet europeen N°91 403065 ou 
dans ('article intitule "On the generation of permutation" de David 
Naccache dans le South African Computer Journal, n°2, 1990, pages 12 
a 16. 

La fonction de hachage peut etre realisee par une fonction de 
hachage MD4 presentee par RIVEST a crypto 90, FFT-Hash II iteree 
convenablement, presentee par SCHNOR a Eurocrypt 92, ou par 
I'algorithme de chiffrement DES. 

Le dispositif de verification tel que represents a la figure 4 
comporte lui aussi une unite de commande 10, cette units de commande 
10 etant reliee a une memoire non volatile 1 1 du type ROM qui comporte 
la matrice M et la cle publique K, un calculateur du poids de Hamming 
12, un comparateur 13, un multiplicateur matrice-vecteur 14, une 
memoire a acces aleatoire 15, des moyens 16 pour realiser des OU 
exclusifs binaires identiques aux moyens 5 du dispositif d'identification, 
un generateur 17 de nombres aleatoires, tel que decrit ci-dessus, une 
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fonction de hachage 18 identique a la fonction de hachage 7 et un 
generateur de permutations 19. II comporte aussi une interface de 
communication 20 reliee a I'unit6 de commande 10 et permettant de 
gerer la communication entre le dispositif de verification et les differents 
5 dispositifs d'identification. 

On decrira maintenant avec reference a la figure 5, un mode de 
realisation de la fonction multiplication de la matrice par un vecteur. Ce 
mode de realisation simplify peut etre utilise avec un vecteur y de huit 
bits. Comme represents sur la figure 5 concernant un multiplicateur 

10 matriciel M permettant de multiplier un vecteur y de huit bits par la 
matrice de dimensions correspondantes, ce multiplicateur est forme de 
huit portes-ET l 1f 1 2 , I3. I4, 15, '\q, I7, 1s- Chaque porte-ET regoit 
sur chaque entree, un bit du vecteur y et un bit de la ligne courante de la 
matrice M. Les sorties des porte-ET alimentent un reseau triangulaire de 

15 porte OU exclusifs 2 q , 2 2 , 2 3 , 2 4 , 3-j, 3 2 , 4 afin d'obtenir a la sortie du 
circuit le bit correspondant au produit scalaire de y par la ligne courante 
de la matrice M. De maniere plus specifique, les sorties des portes 1-| f 
1 2 sont envoyees en entree de la porte OU exclusif 2j, les sorties des 
portes 13, 14 sont envoyees en entree de la porte OU exclusif 2 2 et les 

20 sorties de ces deux portes OU exclusif sont envoyees en entree de la 
porte OU exclusif 3-j. De maniere identique, les sorties des portes I5, 1q 
sont envoyees en entree de la porte OU exclusif 23 et les sorties des 
portes 17, 1g sont envoyees en entree de la porte OU exclusif 24, les 
sorties de ces deux portes OU exclusif etant envoyees en entree de la 

25 porte OU exclusif 3 2 . Les sorties des portes OU exclusif 3-j, 3 2 sont 
envoyees en entree de la porte OU exclusif 4 dont la sortie S correspond 
au produit scalaire de y par la ligne courante de la matrice M. 
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REVINDICATIONS 

1. Procede d'authentification d'au moins un dispositif 
d' identification par un dispositif de verification, cette authentification 

5 etant reaiisee par un protocole a apport nul de connaissance base sur le 
probleme du decodage par syndrome ou le probleme connu sous le nom 
de "Modular Knapsack", le procede etant caracterise par les etapes 
suivantes : 

- pour permettre le dialogue entre le dispositif d'identification 
10 et le dispositif de verification, etablir une cie secrete constitute par au 
moins un vecteur Sj de dimension n et de poids de Hamming d (d<n) et 
une cle publique comprenant une matrice M de dimensions nxk dont les 
coefficients sont choisis aleatoirement et au moins un vecteur Kj tels que 
K| = Msj ; 

15 - au niveau du dispositif d'identification, produire un vecteur 

aleatoire y de dimension n et une permutation aleatoire p et envoyer au 
dispositif de verification un engagement obtenu en appliquant une 
fonction de hachage cryptographique H sur des parametres fonction de 
y, p, s et M ; 

20 - puis, en fonction d'un nombre aleatoire tire par le dispositif 

de verification et envoye au dispositif d'identification, reveler au 
dispositif d'identification, certains elements fonction de y, p et Sj sans 
reveler s\ ; 

- et en fonction du nombre aleatoire, tester au niveau du 
25 dispositif de verification a I'aide des elements recus et de la cie publique 

que les engagements sont corrects ; 

- repeter les operations un nombre de fois fonction du niveau 
de securite souhaite. 

2. Precede selon la revendication 1, caracterise en ce que le 
30 vecteur Sj est un vecteur binaire. 

3. Procede selon les revendications 1 et 2, caracterise en ce 
que apr6s avoir choisi un vecteur aleatoire y et une permutation aleatoire 
p, le dispositif d'identification calcule : 
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hi = H(p,My), h2 = H(y p ), h.3 = H ((y xor s) p ) et expedie 
I'engagement {h-j, h2, h 3 } au dispositif de verification, (x p repr^sentant 
le vecteur x permute par p et xor la fonction Ou exclusif), puis le 
dispositif de verification tire de facon aleatoire un nombre 0 < q < 4 et 
5 I'expedie au dispositif d' identification, alors le dispositif d'identification 
calcule et envoie au dispositif de verification une reponse r definie par : 

Si q = 1 alors r = {y,p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 
10 le dispositif de verification recoit r = {U,V} et teste que : 

Si q = 1 alors h-j = H (V,MU) et h 2 = H (U V ) 

Si q = 2 alors hi = H(V, (MU) xor K) et h 3 = H(U V ) 

Si q = 3 alors h 2 = H(U), h 3 = H(U xor V) et le poids de 
Hamming de V est d. 
15 Si le test correspondant a q s'est ave>e" correct, le dispositif de 

verification considere que le protocole s'est termine" par un succes. 

4. Procede selon les revendications 1 et 2, caracterise" en ce 
que, apres avoir choisi un vecteur aleatoire y et une permutation 
aleatoire p, le dispositif d'identification calcule h-j = H(p), h 2 = H(y p ), 
20 h 3 = H ((y xor s) p ) et expedie i'engagement {hi, h 2 , h 3 } a ce dispositif 
de verification, 

le dispositif de verification tire de facon aleatoire une liste de 
nombres mutuellement disjoints G = {g-j, ...gf} telle que 1 < gj < k et 
I'envoie au dispositif d'identification, 
25 le dispositif d'identification calcule seulement les f bits de My 

dont les emplacements sont indiques par G et expedie au dispositif de 
verification le vecteur Z ainsi obtenu ; 

le dispositif de verification tire de facon ateatoire un nombre 0 
< q < 4 et I'expedie au dispositif d'identification, alors le dispositif 
30 d'identification calcule et envoie au dispositif de verification une reponse 
r definie par : 

Si q = 1 alors r = {y,p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 
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le dispositif de verification recoit r = {U, V} et contrdle que : 
Si q = 1 alors h-] = H(V), h 2 = H(U V ) et Extrait (MU,G) xor 

Z = 0 ou Extrait (x, G) represente ie vecteur projection obtenue en 

choisissant dans x seulement les bits indiqu^s par G ; 
5 Si q = 2 alors h-i = H(V), h 3 = H(U V ) et Extrait (MU xor K,G) 

xor Z = 0 ; 

Si q = 3 alors h 2 = H(U), h 3 = H(U xor V) et Ie poids de 
Hamming de V est d ; 

Si le test correspondant a q s'est av6r§ correct, le dispositif de 
10 verification considere que le protocole s'est termine" par un succes. 

5. Procede selon les revendications 1 et 2, caract6rise" en ce 
que, apres avoir choisi un vecteur al6atoire y et une permutation 
aieatoire p, le dispositif d'identification calcule h-| = H(p), h 2 = H(yp), 
h3 = H ((y xor s) p ) et expedie ('engagement {h-j, h 2 , h 3 } au dispositif 
15 de verification ; 

le dispositif d'identification calcule Q = My et expedie le 
vecteur Q ainsi obtenu au dispositif de verification ; 

le dispositif de verification tire de fapon aieatoire une liste de 
nombres mutuellement disjoints G = {g-|, gf} telle que 1 < g; < k et 
20 calcule le vecteur Z = Extrait (Q,G) 

le dispositif de verification tire de facon aieatoire un nombre 0 
< q < 4 et I'expedie au dispositif d'identification, alors le dispositif 
d'identification calcule et envoie au dispositif de verification une reponse 
r definie par : 
25 Si q - 1 alors r = {y,p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 

Ie dispositif de verification recoit r = {U,V} et contrdle que : 
Si q = 1 alors h«i = H(V), h 2 = H(Uv) et Extrait (MU,G) xor 

30 Z = 0 ; 

Si q = 2 alors h<| = H(V), h 3 = H(U V ) et Extrait (MU xor K,G) 

xor Z = 0 ; 

Si q = 3 alors h 2 = H(U), h 3 = H(U xor V) et Ie poids de 

Hamming de V est d ; 
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Si le test correspondant a q s'est av6r<§ correct, le dispositif de 
verification considere que le protocole s'est terming par un succes. 

6. ProcedS selon la revendication 1, caractSrise - en de que le 
vecteur Sj est remplace par un ensemble de vecteurs s[1], s[w] 

5 formant un code simplexe etendu. 

7. Procede selon la revendication 6, caractSrise' en ce que !e 
vecteur Kj est remplace par un ensemble de vecteurs K[1], ... K[w] tels 
que M(s[i]) = K[i]. 

8. Proc<§de selon les revendications 6 et 7, caracten'se" en ce 
10 que le dispositif d' identification choisit un vecteur ateatoire y et une 

permutation aleatoire p puis calcule h-| = H(My t p), h2 = H[y p , s[1] p , 
s[w] p ) et expedie ['engagement {h-j, h£} au dispositif de verification, 
le dispositif de verification tire de facon aI6atoire un vecteur 
binaire b[1l, b[wl et I'envoie au dispositif d'identification ; 
15 le dispositif d'identification calcule et envoie au dispositif de 

verification une reponse z definie par : 

z = y p xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b3] ... xor 
s[w]pb[w] ; 

le dispositif de verification tire de facon aleatoire un bit q et 
20 I'envoie au dispositif d'identification, 

le dispositif d'identification envoie une response r definie par : 
Si q = 0 alors r = {y p , s[1] p , s[w] p } 
Si q = 1 alors r = {p} ; 

le dispositif de verification repoit une rgponse r = {r[0], r[1], 
25 r[w]} si q = 0 ou r = {r[0]} si q = 1 ; 

le dispositif de verification teste que : 

Si q = 0 alors h 2 = H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] ... xor rfwlbfw] et {r[1], r[2], r[w]} forme un code simplexe ; 

Si q = 1 alors H(M(depermute(z r r[0])) xor {K[1]b[1] xor 
30 K[2]b[2] xor K[3]b[3] ... xor K[wlb[w]), r[0] )= h-| ; 

si le test correspondant a q s'est av6r§ correct, le dispositif de 
verification considere que le protocole s'est terming par un succes. 
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9. Procede selon les revendications 6 et 7, caracterise" en ce 
que le dispositif d'identification choisit un vecteur aleatoire y et une 
permutation ateatoire p, puis calcule : 

hi - H{p), h2 = H(y p , s[1] p , s[w] p ) et exp<§die 
5 ('engagement {h-\, et le vecteur hQ = My au dispositif de 

verification ; 

le dispositif de verification tire de facon aleatoire un vecteur 
binaire b[1], b[w] et I'envoie au dispositif d'identification, 

le dispositif d'identification calcuie et envoie au dispositif de 
10 verification une reponse z definie par : 

z - y p xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b[3] ... xor 
s[w]pbfw] ; 

ie dispositif de verification tire de facon aleatoire un bit q et 
I'envoie au dispositif d'identification, 
15 le dispositif d'identification envoie une reponse r dSfinie par : 

Si q = 0 alors r = {y p , s[1] p< s[w] p } 
Si q = 1 alors r = {p} ; 

le dispositif de verification recoit une r§ponse r = {r[0], r[1], 
r[w]} si q = 0 ou r = {r[0]} si q = 1 ; 
20 le dispositif de verification teste que : 

Si q = 0 alors h 2 = H(r|,z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3l ... xor r[w]b[wl et {r[1], r[2], ... r[w]} forme un code simplexe ; 

Si q = 1 alors h-j = H(r[0]) et (h 0 ) r [0] ™ r (K[1]b[1] xor 
K[2]b[2] xor K[3]b[3] ... xor K[w]b[w]) r [0] = z. 
25 Si le test correspondant s'est aveYe" correct, le dispositif de 

verification considere que le protocole s'est termine par un succes. 

10. Procede selon Tune quelconque des revendications 1 a 9, 
caracterise en ce que le protocole est repete t fois et que le dispositif de 
verification n'authentifie ie dispositif d'identification que si toutes ies 

30 sessions du protocole se sont soldees par un succes. 

11. Procede selon la revendication 10, caracteYise" en ce que t 
est choisi tel que 0<t<60. 

12. Procede selon I'une quelconque des revendications 1 a 11, 
caracterise en ce que le poids de Hamming d est choisi tel que : 
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d = (k - n) log 2 (1 - (k/n)) - k log2 (k/n), et de preference 
sensiblement inferieur a cette valeur. 

13. Procede selon I'une quelconque des revendications 1 a 11, 
caracterise en ce que le poids de Hamming d est choisi tel que : 

5 d = (n - (k - n) log 2 (1 - (k/n)) + k !og 2 (k/n), et de 

preference sensiblement superieur a cette valeur. 

14. Procede selon I'une quelconque des revendications 13, 
caracterise en ce que n = 2k. 

15. Procede selon I'une quelconque des revendications 12 a 
10 14, caracterise en ce que d= 0,1 1n ou d = 0,89 n 

16. Procede selon I'une quelconque des revendications 1 a 15, 
caracterise en ce que n et k prennent comme valeur I'un des couples 
suivants : 

{n = 384, k = 196} ou {n = 512, k = 256} ou {n = 1024, 
15 k - 512} ou {n = 768, k = 384} 

17. Procede selon I'une quelconque des revendications 1 a 16, 
caracterise en ce que la fonction de hachage est remplacSe par une 
fonction de chiffrement ou le message a hScher joue le rdle de la cle" 
et/ou du message a chiffrer et ou le contrdle de la veracite du message 

20 hSche" consiste & devoiler le message qui a 6t6 hach§ et/ou la cl6 de 
chiffrement. 

18. Procede base sur le "Modular Knapsack" selon I'une 
quelconque des revendications 1 a 17, caracteris<§ en ce que le choix du 
vecteur y et tous les calculs sont effectu<§s modulo m et I'opeYation xor 

25 est remplacee par une addition ou une soustraction modulo m, les tests 
sur le poids etant remplaces par la verification que toutes les 
coordonnees du vecteur sont soit 0, soit 1 et que le poids de ce vecteur 
est constant, la relation reliant n, k et m etant : n " k ln(m)/ln 2 et n - 
k >64. 
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19. Procede selon la revendication 18, caractensG en ce que m 
est choisi parmi les nombres 2, 3, 5, 7 ou 2 C dans lequel c est un 
nombre entier petit. 

20. Procede selon les revendications 18 ou 19, caractense" en 
5 ce que {n,k,m} prennent comme valeurs Tune des valeurs suivantes : 

{196, 128, 3} ou {384, 256, 3} ou {128, 64, 5} ou {192, 96, 5}. 

21. Procede" selon Tune quelconque des revendications 1 a 20, 
caracterise" en ce que le calcul de H(p) est effectue" en calculant H(ep) oCi 
e est un vecteur constant pseudo-ateatoire. 

10 22. Procede selon Tune quelconque des revendications 1 a 21, 

caracterise en ce que pour pouvoir associer I'identite" ID de chaque 
utilisateur a ses cles {sj, Kj}, I'autorite" g6n6ratrice choisit un ensemble de 
cles secretes primaires {KPj} et hache ID en un vecteur binaire I = H(ID) 
servant a calculer s\ comme fonction des KPj , I'autorite" publiant 

15 I' ensemble des cles publiques primaires {PPj} ou {PPj} = f (KPj). 

23. Procede selon la revendication 22, caracterise" en ce que 
I'autorite utilise les bits de I comme indicateurs de selection permettant 
de decider pour chaque KPj si celui-ci intervient dans le processus de 
calcul de s ou non. 

20 24. Procede selon la revendication 23, caracterise en ce que 

I'ensemble {KP;} forme un ou plusieurs codes simplexes etendus. 

25. Procede selon la revendication 24, caracterise" en ce que I 
est un nombre de 56 bits. 

26. Procede selon les revendications 22 a 25, caracterise" en 
25 ce que s est calcule comme combinaison lin§aire des KPj soit 

s = I [1] KP-i + I [2] KP 2 + ... I [taille de I] K p tai! | e de | et ou 
PPj = (KPj). 

27. Procede pour relier ID a s selon les revendications 22, 23 
et 25, caracterise en ce que Ton realise les calculs suivants : 

30 

- I'autorite selectionne t secrets KPj de poids at dont les bits a 
un sont repartis sur 2at positions, publie Tensemble des PPj = M(KPj) et 
genere une cle s par triangulation partielle de la fapon suivante : 
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t 

s = I x[i] KPj 
i = I 

5 t 

Ms = I l(i] PPj et 
i = I 

le poids de s = ta-t/2 

!e choix des dimensions etant regi par les relations suivantes : 
10 0,11 n = ta-t/2, 2k = n et 2atS > 56 ou 2a-2aH2<5) - 1. 

28. Procede selon la revendication 27, caracterise en ce que 
t = 56, d - 95, n = 864, k = 432. 

29. Systeme pour la mise en oeuvre du proc6d§ selon Tune 
quelconque des revendications 1 a 28, comprenant au moins un 

15 dispositif d'identification et un dispositif de verification, caracterise en ce 
que !e dispositif d'identification comporte au moins des moyens pour 
multiplier une matrice M de dimensions n x k, par des vecteurs de n bits 
des moyens pour stocker un vecteur secret Sj d'un poids de Hamming d, 
des moyens pour produire un vecteur aleatoire y et une permutation 

20 aleatoire p, des moyens pour realiser un hachage cryptographique H et 
des moyens de communication avec le dispositif de verification. 

30. Systeme selon la revendication 29, caracterise en ce que 
le dispositif de verification comporte au moins des moyens pour 
multiplier une matrice M de dimensions n x k, par des vecteurs de n bits 

25 des moyens pour stocker au moins un vecteur public Kj teis que K\ = 
Msj, des moyens pour produire aieatoirement un nombre entier, des 
moyens pour realiser un hachage cryptographique H et des moyens de 
communication avec les dispositifs d'identification. 

31. Systeme selon les revendications 29 et 30, caracterise en' 
30 ce que la matrice M est g§ner<§e par un generateur deterministe de 

nombres pseudo-aleatoires. 

32. Systeme selon les revendications 29 a 31, caracterise" en 
ce que ie multiplieur matriciel M est forme d'un alignement de portes "et" 
aux entrees de chacune desquelles on applique un bit du vecteur y et un 
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bit de la ligne courante de la matrice M et 0C1 !es sorties des portes "et" 
alimentent un reseau triangulaire de portes "xor" afin d'obtenir a la sortie 
du circuit le bit correspondant au produit scalaire de y par la ligne 
courante de la matrice M. 
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